Conformément à l’article 28 du RGPD, le responsable du traitement doit faire appel :

« Uniquement à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée »

Le sous-traitant si vous traite des données personnelles pour le compte, sur instruction et sous l’autorité d’un responsable de traitement, il doit respecter les obligations suivantes :

« Ne recrute pas un autre sous-traitant sans l’autorisation écrite préalable, spécifique ou générale, du responsable du traitement. Dans le cas d’une autorisation écrite générale, le sous-traitant informe le responsable du traitement de tout changement prévu concernant l’ajout ou le remplacement d’autres sous-traitants »

En résumé, la sous-traitance doit être identifiée et contractualisée.

Pour cela, selon la CNIL un contrat de sous-traitance doit être mis en place avec des chacun des sous-traitants en précisant chacun des éléments présentés dans l’article 28 du RGPD.

Les éléments qui doivent être mentionnés dans le contrat sont :

  • La durée et le périmètre de la sous-traitance
  • La finalité de la sous-traitance
  • Les instructions de traitements documentées
  • L’autorisation préalable en cas de recours à un autre sous-traitant
  • La mise à disposition de documentation présentant la preuve du respect du RGPD
  • La notification immédiate en cas de violation de données

Dans le cadre du RGPD, les process en lien avec les sous-traitants doivent être régulièrement contrôlés et mis à jour si besoin. Pour plus d’informations sur les obligations vis-à-vis de vos sous-traitants, posez-nous vos questions !